Más allá del cumplimiento: construir una cultura de seguridad basada en el riesgo

Belgrado, Serbia - 25 de septiembre de 2025

De las listas de verificación a la reducción significativa del riesgo en las operaciones diarias

El cumplimiento normativo suele considerarse el objetivo final de los programas de seguridad, pero el cumplimiento es solo una base. La verdadera resiliencia surge de una cultura donde la seguridad está integrada en las decisiones diarias, no solo en los informes de auditoría. Cumplir los requisitos de PCI DSS o ISO 27001 puede satisfacer a los reguladores, pero no garantiza que los empleados tomen decisiones conscientes del riesgo en la práctica.

Los marcos de cumplimiento son esenciales. Establecen controles mínimos y proporcionan responsabilidad externa. Sin embargo, los atacantes no se limitan a los límites del cumplimiento. Aprovechan las brechas entre políticas y comportamiento, atacando los puntos ciegos que las auditorías formales rara vez exponen. Una cultura de seguridad basada en riesgos garantiza que estos puntos ciegos se identifiquen y mitiguen de manera continua.

Infosec Assessors Group (IAG) ha observado en múltiples sectores que las organizaciones impulsadas por el cumplimiento a menudo no priorizan los riesgos emergentes. Por ejemplo, pueden cifrar los datos almacenados como se requiere, pero no proteger los endpoints de las API que exponen la misma información. Se cumple con el estándar, pero el riesgo sigue sin resolverse.

CypSec aborda este problema integrando la gestión de riesgos directamente en los flujos de trabajo operativos. Su marco de policy-as-code adapta dinámicamente los controles en función de señales de riesgo contextuales. Esto asegura que la aplicación de la seguridad no sea estática, sino que evolucione junto con las amenazas y los procesos de negocio. Los empleados reciben orientación mediante retroalimentación en tiempo real en lugar de depender únicamente de políticas rígidas.

"El cumplimiento muestra a los reguladores que puede seguir las reglas. Una cultura basada en riesgos muestra a los atacantes que está preparado para ellos," afirmó Frederick Roth, Director de Seguridad de la Información en CypSec.

Construir una cultura basada en el riesgo requiere un cambio de mentalidad. Los empleados deben comprender cómo sus acciones se relacionan con el riesgo organizativo. A través de programas de concienciación específicos, pruebas basadas en escenarios y retroalimentación continua, las organizaciones pueden trasladar la seguridad fuera del departamento de cumplimiento y llevarla a las decisiones diarias de cada miembro del personal.

Para la dirección, esta cultura genera transparencia. Las métricas de seguridad se vuelven impulsadas por el riesgo en lugar de por el cumplimiento, mostrando qué activos, roles o procesos generan mayor exposición. Los ejecutivos obtienen una visión más clara de dónde las inversiones ofrecen la mayor reducción del riesgo real, y no solo de hallazgos de auditorías.

Los sectores que manejan datos sensibles —finanzas, sanidad y administración pública— se benefician especialmente de este cambio. Los reguladores reconocen cada vez más los límites del cumplimiento basado en listas de verificación, esperando que las organizaciones demuestren una gestión proactiva del riesgo. Quienes adoptan una cultura basada en riesgos no solo se mantienen conformes, sino que también obtienen una ventaja competitiva en confianza y resiliencia.

Juntos, Infosec Assessors Group y CypSec ayudan a las organizaciones a ir más allá del cumplimiento, uniendo auditorías, gestión de riesgos y cambio cultural. El resultado es un programa de seguridad que no solo supera inspecciones, sino que también se adapta a las amenazas en evolución, empoderando a todo el personal para tomar decisiones seguras cada día.

Acerca de Infosec Assessors Group: Infosec Assessors Group (IAG) es una consultoría serbia de ciberseguridad especializada en PCI DSS, normas ISO, pruebas de penetración y gestión de riesgos. Para más información, visite infosecassessors.com.

Acerca de CypSec: CypSec ofrece soluciones de gestión de riesgos de nivel empresarial, policy-as-code y riesgos humanos. Junto con IAG, ayuda a las organizaciones a construir culturas de seguridad duraderas que se adapten a las amenazas en evolución. Para más información, visite cypsec.de.

Contacto de prensa: Daria Fediay, Directora Ejecutiva en CypSec - daria.fediay@cypsec.de.